Microsoft 365

Modern Authentication Neleri Değiştirir

Birçok kuruluş Exchange Online, Azure AD gibi Cloud servislerini benimsemeye başladı, Cloud servislerinin kullanımları arttıkça güvenlik prosedürleride gelişmekte.

Şirket içi Exchange depolama ve yedeklilik konusunda endişelenmemek, firmaların sıçrama yapması için genellikle yeterli bir nedendir. Ancak buluttaki değişiklik, herhangi bir tümleşik uygulamanın artık doğrudan şirket içi Exchange ortamına değil, internet üzerinden Exchange Online ortamına bağlanması gerektiğinden, güvenlik endişelerini de beraberinde getirmektedir.

Bu, diğer şirket içi uygulamaların ve betiklerin bile bir kullanıcının posta kutusuna bağlanmak için buluta ulaşması gerektiği anlamına gelir. Microsoft, yıllarca Exchange Online’da Temel Kimlik Doğrulaması’na izin verdi, yani gereken tek şey bir kullanıcı adı ve parolaydı. Ancak, güvenliği artırmanın bir yolu olarak Microsoft, Exchange Online’a Temel Kimlik Doğrulaması ile bağlanma yeteneğini sona erdirme ve bunun yerine OAuth 2.0 (Modern Kimlik Doğrulaması olarak da bilinir) gerektirmeye başlama planlarını duyurdu. OAuth, diğer sistem bilgilerine erişim izni verebilen ancak onlara şifre vermeden birçok uygulama ve web sitesi için kullanılan açık bir standarttır.

1Eylül 2022’den itibaren Microsoft sonunda Basic Authenticationu kaldırmaya başladı ve tüm tenant yöneticilerinden kullanıcıları için Modern Authentication’u açmaya davet etti.

Basic Authentication Nedir?

Yıllar boyunca, Windows (ve diğer sistemler), internet üzerinden özellikle iyi çalışmayan CHAP, NTLM ve Kerberos gibi protokollere güvenmiştir. İnternet kaynakları için kimlik doğrulaması genellikle çok basit olma avantajına sahip Temel Kimlik Doğrulaması’nı kullanır. Kullanıcı adı ve parola tek bir üstbilgi alanında, düz metin olarak, base64 kodlamasında yer alıyordu. Bu nedenle, başlıkları şifrelemek (Atasözünü unutmayın: SSL korumalı olmayan bir web sitesinde ASLA kimlik doğrulaması yapmayın :)) ve kullanıcının kimlik bilgilerini korumak için Temel Kimlik Doğrulama’nın SSL ile birleştirilmesi gerekiyordu. Ancak, HTTPS kullanıldığında bile, Temel Kimlik Doğrulaması için hala bir dizi güvenlik açığı vardır. İlk olarak, kimlik doğrulama üstbilgisi her istekle birlikte gönderilir, bu nedenle kimlik bilgilerini yakalama fırsatı neredeyse sınırsızdır. İkincisi, parola tarayıcıda önbelleğe alınacak (ve muhtemelen kalıcı olarak saklanacak) ve uzlaşma için başka bir yüzey oluşturacaktır. Ek olarak, temel kimlik doğrulamasının tüm temeli, Microsoft’un ortadan kaldırmaya çalıştığı çok basit ve arkaik bir kullanıcı adı \ parola mimarisine dayanmaktadır.

Ayrıca, temel kimlik doğrulaması çeşitli izin düzeylerini desteklemez. Başka bir deyişle, birisi kullanıcı adınıza ve şifrenize erişirse, krallığın anahtarlarını alırlar. Günümüzün mükemmel bir dünyasında, en iyi güvenlik uygulaması yalnızca bir uygulamanın çalışması için gereken verilere ve kaynaklara erişime izin vermek olacaktır.

Modern Authentication Nedir?

Modern Kimlik Doğrulama, tek bir kimlik doğrulama yöntemi değil, bunun yerine bulut tabanlı kaynakların güvenlik duruşunu geliştirmeyi amaçlayan birkaç farklı protokolden oluşan bir kategoridir. Modern Kimlik Doğrulama protokollerine örnek olarak SAML, WS-Federation ve OAuth verilebilir. Her biri yürütmelerinde farklı olsa da, hepsi klasik kullanıcı adı \ şifre yönteminden uzaklaşmayı ve bunun yerine belirteç tabanlı taleplere güvenmeyi amaçlamaktadır.

Bu nedenle, kullanıcı hala bir kullanıcı adı ve parola sağlayabilirken, erişim için bir belirteç oluşturmak üzere bir kimlik sağlayıcıyla kimlik doğrulaması yapmak için kullanılır. Bu belirteç, istek sahibinin ne yaptığını ve neye erişimi olmadığını belirten daha spesifik bilgilere (talep biçiminde) sahiptir. Jetonların da süresi dolar ve iptal edilebilir, bu nedenle erişimi yönetme yeteneği daha fazladır.

Uygun bir benzetme, kişinin evine erişimi bir otel odasına karşı karşılaştırır. Evinizin ön kapısının kilidini açtığınızda, içeri girersiniz ve her şeye erişebilirsiniz; tüm yatak odaları, mutfak, banyolar ve az kullanılmış egzersiz odası. Bir otelde size bir anahtar kartı verildiğinde, ön kapıya, odanıza, belki VIP salonuna ve az kullanılan egzersiz odasına girmenize izin verecektir. Ancak anahtar kartının kodlanma şekli nedeniyle, diğer konukların odalarına, çarşaf dolabına veya yalnızca çalışanlara özel alanlara erişemezsiniz. Otel anahtar kartı, belirli alanlara zamana dayalı erişim gibi başka özelliklere de sahip olabilir (örneğin, yüzme havuzu akşam 9’dan sonra sınırsızdır). En önemlisi, anahtar kartı, kaçınılmaz olarak ödeme sırasında iade etmeyi unuttuktan sonra otel tarafından kalıcı olarak devre dışı bırakılabilir.

Bulut içinde, bu belirteçler tek tek kaynaklara erişimi yönetmeye yardımcı olur. Bunlar, Microsoft kaynaklarını veya kullanıcının Office 365 kimliğine bağlı üçüncü taraf uygulamaları içerebilir. Bu genişletilebilirlik belki de bu mimarinin en zorlayıcı kısmıdır. Facebook veya Google hesabınızı diğer web sitelerine veya uygulamalara erişmek için daha önce kullandıysanız, kavramı zaten deneyimlediniz.

Bu belirteçler, geçerli bilgisayar veya geçerli konum gibi ayrıntılar da dahil olmak üzere yalnızca kullanıcı hesabınızdan daha fazlası hakkında bilgi içerebilir, böylece Microsoft’un en iyi güvenlik araçlarından birini etkinleştirir. Koşullu Erişim, kuruluşun konumu veya cihaza göre erişimi kısıtlayan kurallar oluşturmasına olanak tanır. Örneğin, bir kuruluş belirli ülkelerden veya kişisel cihazlardan erişime izin vermemeyi seçebilir.

“Evet, ama yine de bir kullanıcı adı ve şifre girmem gerekiyor” diye düşünüyor olabilirsiniz, ancak bu gereksinim kayboluyor olabilir. Sorunsuz Çoklu Oturum Açma, Windows Hello ve Microsoft Authenticator uygulamasıyla parolasız kimlik doğrulama gibi teknolojilerle, parolanızı gerçekten girmeniz gereken örneklerin sayısı büyük ölçüde azaltılmıştır. Şahsen, bir yandan geçen ay boyunca şifremi yazmak zorunda kaldığım kaç kez güvenebilirim

Basic Authentication
Windows (ve diğer sistemler), internet üzerinden özellikle iyi çalışmayan CHAP, NTLM ve Kerberos gibi protokollere güvenmektedir. İnternet kaynakları için kimlik doğrulaması genellikle çok basit olma avantajına sahip Temel Kimlik Doğrulaması’nı kullanır. Kullanıcı adı ve parola tek bir üstbilgi alanında, düz metin olarak, base64 kodlamasında yer alıyordu. Bu nedenle, başlıkları şifrelemek için Temel Kimlik Doğrulaması’nın SSL ile birleştirilmesi gerekiyordu.

Modern Authentication

tek bir kimlik doğrulama yöntemi değil, bunun yerine bulut tabanlı kaynakların güvenlik duruşunu geliştirmeyi amaçlayan birkaç farklı protokolden oluşan bir kategoridir. Modern Kimlik Doğrulama protokollerine örnek olarak SAML, WS-Federation ve OAuth verilebilir. Her biri yürütmelerinde farklı olsa da, hepsi klasik kullanıcı adı \ şifre yönteminden uzaklaşmayı ve bunun yerine belirteç tabanlı taleplere güvenmeyi amaçlamaktadır. Bu nedenle, kullanıcı hala bir kullanıcı adı ve parola sağlayabilirken (şimdilik; aşağıya daha fazla bakın), erişim için bir belirteç oluşturmak üzere bir kimlik sağlayıcıyla kimlik doğrulaması yapmak için kullanılır. Bu belirteç, istek sahibinin ne yaptığını ve neye erişimi olmadığını belirten daha spesifik bilgilere (talep biçiminde) sahiptir.

Modern kimlik doğrulaması kullandığımda ne değişir?

Modern kimlik doğrulaması istemci ve sunucu iletişimiyle ilgili olsa da, MA’nın yapılandırılması sırasında atılan adımlar, evoSTS’nin (Azure AD tarafından kullanılan bir Güvenlik Belirteci Hizmeti) şirket içi Skype Kurumsal ve Exchange sunucusu için Kimlik Doğrulama Sunucusu olarak ayarlanmasına neden olur.

evoSTS’deki değişiklik, şirket içi sunucularınızın istemcilerinizi yetkilendirmek için OAuth’tan (belirteç verme) yararlanmasına ve ayrıca şirket içi sunucularınızın bulutta yaygın olarak kullanılan güvenlik yöntemlerini (Multi-Factor Authentication gibi) kullanmasına olanak tanır. Ek olarak, evoSTS, kullanıcıların isteğin bir parçası olarak şifrelerini sağlamadan kaynaklara erişim isteğinde bulunmalarına izin veren belirteçler yayınlar. Kullanıcılarınız nerede barındırılırsa barındırılsın (çevrimiçi veya şirket içi) ve hangi konum gerekli kaynağı barındırırsa barındırsın, modern kimlik doğrulama yapılandırıldıktan sonra EvoSTS, kullanıcıları ve istemcileri yetkilendirmenin çekirdeği haline gelecektir.

Ne değişmez? 

İster split-domain hybrid yapısında olun, ister şirket içinde Skype Kurumsal ve Exchange sunucusu kullanıyor olun, önce tüm kullanıcıların şirket içinde kimlik doğrulaması yapması gerekir. Modern kimlik doğrulamasının karma bir uygulamasında, Lyncdiscoveryve AutoDiscovery’nın her ikisi de şirket içi sunucunuza işaret eder.

Şirket içi sunuculara yönelik tüm senaryolar, kimlik doğrulama ve yetkilendirmeden sorumlu sunucunun Microsoft Bulut’ta (Azure AD’nin ‘evoSTS’ adı verilen güvenlik belirteci hizmeti) olması için şirket içinde modern kimlik doğrulaması ayarlamayı (aslında Skype Kurumsal için desteklenen topolojilerin bir listesi vardır) ve Skype Kurumsal veya Exchange şirket içi yüklemeniz tarafından kullanılan URL’ler veya ad alanları hakkında Azure AD’nin güncelleştirilmesini içerir. Bu nedenle, şirket içi sunucular Microsoft Bulut bağımlılığı üstlenir. Bu eylemin gerçekleştirilmesi, hybrid kimlik doğrulamasının yapılandırılması olarak düşünülebilir.

Cengiz YILMAZ

5 Yıldır IT Sektörü içerisindeyim, Microsoft ürünleri ve Sanallaştırma teknoloji ile ilgilenmekteyim. 2021 yılı içerisinde VMware tarafından vExpert ve vExpert Pro olarak seçildim. Cengiz YILMAZ | vExpert, MCT |

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu